Introduction
Last updated on September 14, 2019
Starting September 14, 2019 new payments regulation is being rolled out in Europe, which mandates Strong Customer Authentication (SCA) for many online payments in the European Economic Area (EEA). SCA is part of the second Payment Services Directive (PSD2).
To meet the new SCA requirements, a form of two-factor authentication is required for many online card payments in Europe. Without authentication, many payments may be declined by your customers’ banks. We designed new foundational payments APIs to help businesses handle this change and take full advantage of any SCA exemptions.
We recommend using this guide to understand how different types of payment flows have to change due to SCA, and to reference it as you redesign your payment flows.
How payments are changing
Traditional card payments usually involve two steps: authorization and capture. A payment is authorized when a customer’s bank or card issuer decides to approve a payment, and the payment is captured when the card is charged.
With SCA, there is an additional and mandatory step before authorization and capture: authentication. This step helps protect customers by preventing fraud. To authenticate a payment, a customer responds to a prompt from their bank and provides additional information. This may be something they know, like a password, something they use, like their phone, or something that’s part of who they are, like their fingerprint.
The most common way to authenticate a payment is a method called 3D Secure. You may recognize 3D Secure by its branded names, such as “Visa Secure” or “Mastercard Identity Check.” There’s a new version, called 3D Secure 2, that is expected to become the standard method to authenticate payments. You can learn about the differences between these methods in our 3D Secure 2 guide. Our new payments APIs, Stripe Billing, and the new version of Stripe Checkout, all support 3D Secure 2.
No matter what method you use, customers must be on-session to authenticate, which means they need to be using your website or app. Adding this step is be simpler for businesses that charge customers right away, and more complex for businesses that charge customers after they’ve left the checkout flow. (This is sometimes called off-session.)
The scenarios in this guide offer examples of how these three steps (authentication, authorization, and capture) can vary depending on how and when you charge your customers.
-
AuthentifizierenEin Kunde authentifiziert eine Online-Zahlung.
Ein Kunde reagiert auf eine 3D Secure-Eingabeaufforderung von der Bank und liefert zusätzliche Informationen, um die Zahlung zu authentifizieren. Siehe 3D Secure aus der Kundenperspektive.
Die Authentifizierung ist erforderlich, wenn keine Ausnahme für eine Zahlung geltend gemacht werden kann bzw. wenn die Kundenbank die Anforderung einer Ausnahme ablehnt. Unsere Payment Intents API fordert automatisch alle zutreffenden Ausnahmen an, bevor der Authentifizierungsschritt hinzugefügt wird. Dies vereinfacht den Bezahlvorgang und beugt einem Einbruch der Konversionsrate vor.
Hinweis: Die Authentifizierung muss durchgeführt werden, wenn Kunden sich noch in der Sitzung befinden bzw. wenn diese Ihre Website oder App verwenden. Daher erfolgt dieser Schritt für gewöhnlich, wenn Kunden das Zahlungsformular ausfüllen.
-
Bis zu 7 Tage
Der Zeitraum zwischen Autorisierung und Erfassung kann bis zu sieben Tage betragen. Viele Unternehmen erfassen eine Zahlung jedoch sofort nach der Autorisierung.
Hinweis: Eine Kundenbank gibt eine Zahlung möglicherweise als „ausstehend“ an, wenn diese autorisiert, jedoch nicht erfasst wurde.
-
ErfassenDas Unternehmen belastet die Kundenkarte und schließt die Zahlung ab.
Understanding exemptions
There are certain types of payments—such as low-risk transactions, fixed-amount subscriptions, phone sales, and merchant-initiated transactions—that may be exempt from SCA. Merchant-initiated transactions are payments made with a saved card when the customer is off-session. Common examples include a gym membership payment or utility bill. To qualify for this exemption, your business must have an agreement with your customer and have them authenticate their card when it’s being saved or authenticate the first payment. Our Strong Customer Authentication guide goes into greater detail about these exemptions and others.
Stripe’s SCA-ready payment APIs and products help businesses take full advantage of these opportunities by automatically requesting exemptions. When exemptions are accepted by your customers’ banks, your customers won’t have to authenticate, minimizing the impact on conversion.
However, businesses can’t rely on exemptions and must design their payment flows to authenticate customers when necessary. This is because the rules around exemptions depend on your customers’ banks. The banks evaluate each payment and decide whether an exemption applies—and individual banks will apply exemptions differently.
Geschäftsszenarien
Um die Auswirkungen und Geltungsbereiche der SCA darzustellen, haben wir zusammengefasst, wie ein Authentifizierungsschritt in Zahlungsabläufe für verschiedene Geschäftsmodelle integriert werden kann.
E-Commerce-Unternehmen buchen Zahlungen von Kunden normalerweise ab, wenn diese online sind, ohne Einzelheiten zur verwendeten Karte für die Zukunft zu speichern. Wenn Ihr Unternehmen über einen ähnlichen Zahlungsablauf verfügt, ist das Hinzufügen der Authentifizierung leicht: Die Authentifizierung mit 3D Secure erfolgt, sobald Kunden ihre Karteninformationen eingegeben und ihre Bestellung aufgegeben haben.
Stripe fordert automatisch jegliche zutreffenden Ausnahmen an, sodass möglicherweise gar keine Kundenauthentifizierung erforderlich ist. Da einzelne Banken jedoch Ausnahmen unterschiedlich anwenden, muss Ihr Unternehmen weiterhin Zahlungsabläufe für die Kundenauthentifizierung konzipieren, falls sie erforderlich ist.
-
Bestellung aufgegeben
Elisa gibt die Informationen zu ihrer Karte und zum Versand ein. Der Gesamtbetrag lautet 29 SEK einschließlich MwSt.
-
Authentifizieren29 SEK mit 3D Secure authentifiziert
Elisa schließt die 3D Secure-Authentifizierung ab.
-
Erfassen29 SEK erfasst
-
Bestellung versandt
Empfehlungen
Wählen Sie eine Option:
Nutzen Sie vordefinierte, konversionsoptimierte Bezahlvorgänge mit minimalem Code.
Dokumentation lesenErstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenFahrdienstvermittler und andere Bedarfsmärkte erfassen Zahlungen für gewöhnlich innerhalb von sieben Tagen nach der Autorisierung und der Endbetrag kann höher oder niedriger ausfallen. Wenn Ihr Unternehmen einen ähnlichen Zahlungsablauf verwendet, kann die 3D Secure-Authentifizierung sofort nach der Anforderung einer Fahrt erfolgen, da Kunden zu dem Zeitpunkt noch online sind. Wenn der Endbetrag über dem zunächst authentifizierten Betrag liegt, müssen Kunden den höheren Betrag erneut authentifizieren. Wenn der Endbetrag unter dem anfänglich authentifizierten Betrag liegt, ist keine erneute Authentifizierung erforderlich.
Eine andere Möglichkeit, diesen Zahlungsablauf anzugehen, ist es, einen höheren Betrag zu authentifizieren und zu autorisieren, sobald Kunden eine Fahrt anfordern. Wenn Kunden später ein Trinkgeld hinzufügen möchten und der Gesamtbetrag unter dem authentifizierten Betrag liegt, ist keine weitere Authentifizierung erforderlich. Die Kehrseite hierzu ist, dass die anfängliche Authentifizierung eines höheren Betrags möglicherweise preisbewusste Kunden abschreckt.
Stripe fordert automatisch jegliche zutreffenden Ausnahmen an, sodass möglicherweise gar keine Kundenauthentifizierung erforderlich ist. Da einzelne Banken jedoch Ausnahmen unterschiedlich anwenden, muss Ihr Unternehmen weiterhin Zahlungsabläufe für die Kundenauthentifizierung konzipieren und die Möglichkeit berücksichtigen, dass Kunden für die erneute Authentifizierung zur Online-Sitzung zurückgebracht werden müssen.
-
Fahrt angefordert
Sami öffnet die App und fordert eine Fahrt für 20 SEK an.
-
Authentifizieren20 SEK mit 3D Secure authentifiziert
Sami schließt die 3D Secure-Authentifizierung ab.
-
Fahrgast abgeholt und abgesetzt
Ein Fahrer holt Sami ab und bringt ihn an seinen Zielort.
-
Trinkgeld hinzugefügt
Er öffnet die App, bewertet den Fahrer und fügt ein Trinkgeld von 3 SEK hinzu.
-
Authentifizieren23 SEK (20 SEK für die Fahrt + 3 SEK Trinkgeld) mit 3D Secure authentifiziert
Sami schließt die 3D Secure-Authentifizierung ab.
-
Erfassen23 SEK erfasst
Empfehlung
Erstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenCrowdfunding-Plattformen erfassen Zahlungen normalerweise mehr als sieben Tage nach der Autorisierung. Jede Kampagne hat eine bestimmte Laufzeit und Zahlungen werden nach erfolgreichem Abschluss der Kampagne erfasst. Wenn Ihr Unternehmen über einen ähnlichen Zahlungsablauf verfügt, können Sie die 3D Secure-Authentifizierung durchführen, wenn Kunden einen Spendenbetrag zur Unterstützung der Kampagne eingeben und diesen dann autorisieren und erfassen, wenn die Kampagne erfolgreich abgeschlossen ist. Wenn die Autorisierung fehlschlägt, muss Ihr Unternehmen die Kunden zur erneuten Authentifizierung zur Online-Sitzung zurückbringen.
Stripe fordert automatisch jegliche zutreffenden Ausnahmen an, aber da einzelne Banken Ausnahmen unterschiedlich anwenden, muss Ihr Unternehmen weiterhin Zahlungsabläufe für die Authentifizierung von Kunden konzipieren und die Möglichkeit berücksichtigen, dass Kunden für die erneute Authentifizierung zur Online-Sitzung zurückgebracht werden müssen.
-
Kampagne gestartet
-
Spendenbetrag eingegeben
Luka unterstützt die Kampagne und spendet 40 SEK.
-
AuthentifizierenCard authenticated using 3D Secure
Luka completes 3D Secure authentication after entering his card details.
-
30 Tage vergehen
-
Kampagne abgeschlossen
Lukas Karte wird belastet, sobald die Kampagne erfolgreich abgeschlossen ist.
-
Erfassen40 SEK erfasst
-
Spendenbetrag eingegeben
Luka unterstützt eine Crowdfunding-Kampagne und spendet 40 SEK.
-
AuthentifizierenCard authenticated using 3D Secure
Luka completes 3D Secure authentication after entering his card details.
-
30 Tage vergehen
-
Kampagne abgeschlossen
Lukas Karte wird belastet, sobald die Kampagne erfolgreich abgeschlossen ist.
-
AblehnenDie Authentifizierung ist aufgrund einer abgelaufenen Karte fehlgeschlagen und eine erneute Authentifizierung ist erforderlich
-
E-Mail gesendet
Luka öffnet eine E-Mail von der Crowdfunding-Website und klickt auf den Link.
-
Informationen aktualisiert
Er kehrt zur Crowdfunding-Website zurück und gibt neue Karteninformationen ein.
-
Authentifizieren40 SEK mit 3D Secure authentifiziert
Luka completes 3D Secure authentication.
-
Erfassen40 SEK erfasst
Empfehlung
Erstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenAutovermietungen erfassen Zahlungen für gewöhnlich mehr als sieben Tage nach der Autorisierung und der endgültige Zahlungsbetrag ändert sich oft aufgrund von Rabatten, Upgrades oder zusätzlichen Dienstleistungen bei Abholung oder Abgabe. Wenn Ihr Unternehmen einen ähnlichen Zahlungsablauf verwendet, können Sie die Zahlung in separate Beträge unterteilen, zunächst die 3D Secure-Authentifizierung für den geschätzten Preis für den Mietwagen durchführen und sich später mit jeglichen Zusatzkosten befassen.
Stripe fordert automatisch jegliche zutreffenden Ausnahmen an, sodass Kunden die Zahlung nicht einmalig oder erneut authentifizieren müssen. Da einzelne Banken jedoch Ausnahmen unterschiedlich anwenden, muss Ihr Unternehmen weiterhin Zahlungsabläufe für die Kundenauthentifizierung konzipieren und die Möglichkeit berücksichtigen, dass Kunden für die erneute Authentifizierung zur Online-Sitzung zurückgebracht werden müssen.
-
Auto reserviert
Emma mietet für ihren anstehenden Urlaub ein Auto.
-
Authentifizieren350 SEK mit 3D Secure authentifiziert
Emma schließt die 3D Secure-Authentifizierung ab.
-
Auto gemietet
-
Über 7 Tage vergehen
-
Fahrzeug zurückgegeben
Sie gibt das Fahrzeug ohne zu tanken zurück, was zu einer Gebühr von 50 SEK führt.
-
Erfassen350 SEK erfasst (Reservierung) 50 SEK erfasst (Benzingebühr)
Empfehlung
Erstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenBei Mitgliedschaften im Fitnessstudio handelt es sich für gewöhnlich um wiederkehrende Zahlungen mit einem festen Betrag und die Mitgliedschaft kann mit einer kostenlosen Probezeit beginnen. Wenn Ihr Unternehmen einen ähnlichen Zahlungsablauf verwendet, ist für die erste Zahlung zu Beginn des Abonnements eine 3D Secure-Authentifizierung erforderlich. Stripe fordert automatisch für alle anschließenden Zahlungen Ausnahmen an. In diesem Szenario fallen die Zahlungen möglicherweise unter Ausnahmen für Abonnements mit einem Festbetrag und vom Händler initiierte Transaktionen. Wenn die Kundenbank die Ausnahme akzeptiert, müssen Ihre Kunden nicht jede monatliche Zahlung authentifizieren.
Bei von Händlern initiierten Transaktionen handelt es sich um Zahlungen mit einer gespeicherten Karte, wenn sich Kunden nicht in einer Online-Sitzung befinden. Um sich hierfür zu qualifizieren, muss Ihr Unternehmen über eine entsprechende Vereinbarung mit Kunden verfügen und diese müssen ihre Karte entweder beim Speichern der Informationen oder bei der ersten Zahlung authentifizieren.
Sie sollten beachten, dass Ausnahmen nicht garantiert sind und dass anschließende Zahlungen möglicherweise authentifiziert werden müssen. Einzelne Banken wenden Ausnahmen unterschiedlich an, sodass Ihr Unternehmen Zahlungsabläufe konzipieren muss, die Kunden für die erneute Authentifizierung zur Online-Sitzung zurückbringen.
Wenn Ihr Unternehmen bei potenziellen Kunden direkt nach einer kostenlosen Probezeit eine Mitgliedschaft beginnen möchte, müssen Ihre Kunden die 3D Secure-Authentifizierung für den Wert des monatlichen Abonnements bei der Anmeldung für deren kostenlose Probezeit durchführen. Es ist zu beachten, dass jegliche wiederkehrende Zahlungen, die vor dem 14. September begonnen wurden, von der SCA ausgenommen sind.
-
Mitgliedschaft beginnt
Imani gibt ihre E-Mail-Adresse und Karteninformationen ein, um dem Fitnessstudio vor Ort für 50 SEK pro Monat beizutreten.
-
Authentifizieren50 SEK mit 3D Secure authentifiziert
Imani schließt die 3D Secure-Authentifizierung ab.
-
Erfassen50 SEK erfasst
-
30 Tage vergehen
-
Mitgliedschaft läuft weiter
Imani nimmt an Fitnesskursen teil und geht oft ins Fitnessstudio.
-
Erfassen50 SEK erfasst
-
Probezeit beginnt
Imani tritt ihrem Fitnessstudio vor Ort für 50 SEK pro Monat bei. Sie gibt ihre E-Mail-Adresse und Kreditkarteninformationen ein, sodass ihre Mitgliedschaft sofort nach der 7-tägigen Probezeit beginnt.
-
Authentifizieren50 SEK mit 3D Secure authentifiziert
Imani schließt die 3D Secure-Authentifizierung ab.
-
7 Tage vergehen
-
Probezeit endet und Mitgliedschaft beginnt
Imanis Karte wird nach Ablauf der Probezeit automatisch belastet.
-
Erfassen50 SEK erfasst
-
30 Tage vergehen
-
Mitgliedschaft läuft weiter
Imani nimmt an Fitnesskursen teil und geht oft ins Fitnessstudio.
-
AblehnenAutorisierung fehlgeschlagen, erneute Authentifizierung erforderlich
-
E-Mail gesendet
Imani öffnet eine E-Mail und klickt auf einen Link.
-
Informationen aktualisiert
Sie kehrt zur Website des Fitnessstudios zurück und gibt neue Karteninformationen ein.
-
Authentifizieren50 SEK mit 3D Secure authentifiziert
Imani schließt die 3D Secure-Authentifizierung ab.
-
Erfassen50 SEK erfasst
Empfehlungen
Wählen Sie eine Option:
Verwalten Sie Ihre Abonnements und nutzen Sie automatisierte Tools, um die SCA-Anforderungen zu erfüllen.
Dokumentation lesenErstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenBei Gas-, Wasser- und Stromrechnungen handelt es sich um wiederkehrende Zahlungen mit Beträgen, die aufgrund von nutzungsbasierter Abrechnung wahrscheinlich von Monat zu Monat unterschiedlich sind. Wenn Ihr Unternehmen einen ähnlichen Zahlungsablauf verwendet, ist die 3D Secure-Authentifizierung erforderlich, wenn Kunden ihre Karte für automatische Zahlungen speichern.
Stripe fordert für nachfolgende Zahlungen automatisch Ausnahmen an. In diesem Fall kommt für die Zahlung möglicherweise eine Ausnahme für vom Händler initiierte Transaktionen in Frage. Wenn die Kundenbank die Ausnahmen akzeptiert, müssen Ihre Kunden nicht jede monatliche Zahlung authentifizieren.
Sie sollten beachten, dass Ausnahmen nicht garantiert sind und dass anschließende Zahlungen möglicherweise authentifiziert werden müssen. Einzelne Banken wenden Ausnahmen unterschiedlich an, sodass Ihr Unternehmen Zahlungsabläufe konzipieren muss, die Kunden für die erneute Authentifizierung zur Online-Sitzung zurückbringen, falls erforderlich.
-
Konto eingerichtet
Salim zieht in eine neue Wohnung und meldet sich für die automatische Zahlung seiner monatlichen Stromrechnung an.
-
Karte gespeichert
Salim hinterlegt seine Karte in seinem Konto.
-
AuthentifizierenAutomatische Abrechnung mit 3D Secure bestätigt
Salim schließt die 3D Secure-Authentifizierung ab.
-
30 Tage vergehen
-
Rechnung erhalten
Salim erhält eine E-Mail von seinem Stromanbieter mit dem Hinweis auf eine geplante Zahlung von 63 SEK.
-
Erfassen63 SEK erfasst
-
30 Tage vergehen
-
Rechnung erhalten
Salim erhält eine E-Mail von seinem Stromanbieter mit dem Hinweis auf eine geplante Zahlung von 91 SEK.
-
AblehnenAutorisierung fehlgeschlagen, erneute Authentifizierung erforderlich
-
E-Mail gesendet
Salim erhält eine E-Mail vom Stromanbieter mit einer Rechnung über 91 SEK und klickt auf den Link.
-
Authentifizieren91 SEK mit 3D Secure authentifiziert
Salim schließt die 3D Secure-Authentifizierung ab.
-
Erfassen91 SEK erfasst
-
Rechnung erhalten
Salim erhält eine E-Mail vom Stromanbieter mit einer Rechnung über 63 SEK und klickt auf den Link.
-
Authentifizieren63 SEK mit 3D Secure authentifiziert
Salim schließt die 3D Secure-Authentifizierung ab.
-
Erfassen63 SEK erfasst
-
30 Tage vergehen
-
Rechnung erhalten
Salim erhält eine E-Mail vom Stromanbieter mit einer Rechnung über 91 SEK und klickt auf den Link.
-
Authentifizieren91 SEK mit 3D Secure authentifiziert
Salim schließt die 3D Secure-Authentifizierung ab.
-
Erfassen91 SEK erfasst
Empfehlungen
Wählen Sie eine Option:
Verwalten Sie Ihre Abonnements und nutzen Sie automatisierte Tools, um die SCA-Anforderungen zu erfüllen.
Dokumentation lesenErstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesen